USB 자동실행을 통해 감염되는 바이러스 사전예방법

Posted at 2008/09/20 15:00 // in 컴퓨터 // by 아르 :: 인쇄 :: PDF 저장 - 6:1:8374
사용자 삽입 이미지
USB 자동실행 바이러스가 극성입니다. 저의 경우는 와우계정정보도 빼가서 해킹해가고 한 술 더 떠서 PC에 원격제어프로그램까지 설치해서 하드자료 수백메가를 전송해가버렸더군요. AVAST백신은 일시정지로 해놓고 말이죠. 바이러스에 감염된 파일을 통해서 한번 감염되면, 급속도로 퍼지는 경로가 USB메모리의 경우가 대부분입니다. 이젠 정말 타인의 USB 메모리를 컴퓨터에 연결하기가 꺼려질 정도입니다. USB 자동실행을 통해 전염되는 바이러스는 CD 나 DVD 미디어를 드라이브에 삽입하면 자동으로 실행되는 설치 프로그램처럼 USB 메모리를 컴퓨터에 연결하는 즉시 autorun.inf (오토런) 파일의 자동실행 명령으로 인해 컴퓨터가 바이러스에 감염됩니다.
안티바이러스가 설치되어 있고, 실시간 감시 중이라면 대부분 바이러스에 감염되기 전에 미리 실행을 차단하고 바이러스를 치료할 수 있지만 워낙 변종이 많고 널리 퍼지고 있어 자동 실행을 아예 꺼놓는 것이 USB 바이러스의 감염을 예방하는 좋은 방법이 될 수 있습니다.

윈도우2000 이하는 이동식 드라이브의 자동실행 기능이 없으므로 해당되지 않고, 윈도우XP 나 윈도우 비스타에 적용됩니다.

1-1. 국가사이버안전센터의 USB Guard 로 간단하게 자동실행을 끄자

국가정보원 국가사이버안전센터에서 업무용 컴퓨터의 USB 바이러스 감염을 예방하기 위해 클릭 한 번으로 윈도우의 자동실행을 차단할 수 있는 USB Guard 프로그램을 배포하고 있습니다.
- 국가사이버안전센터, USB Guard : 다운로드


위 화면에 나와있듯이 CD 나 DVD 드라이브의 자동실행도 함께 중지됩니다.

1-2. 윈도우에서 직접 자동실행을 중지시키자

윈도우XP 홈 에디션이 아닌 윈도우XP 프로페셔널 에디션을 사용하고 있다면 윈도우의 그룹정책 편집기를 이용하여 USB Guard 와 같은 프로그램의 도움을 받지 않고, 직접 자동실행을 끌 수도 있습니다.

먼저, 그룹정책 편집기를 실행하기 위해 '시작 - 실행' 을 선택하거나 '윈도우 + R' 키를 눌러 실행창을 엽니다.
실행창이 나타나면, 다음 명령어를 입력합니다.
gpedit.msc
그룹정책 창이 열리면 왼쪽 트리 메뉴에서 '사용자 구성 - 관리 템플릿 - 시스템' 을 선택하고, 오른쪽 화면에서 '자동 실행 사용 안 함' 을 더블클릭합니다.

'자동 실행 사용 안 함' 등록정보 창에서 '사용' 을 선택하고, 자동실행을 허용하지 않을 드라이브로 '모든 드라이브' 를 선택합니다. 이제 모든 드라이브의 자동실행이 중지됩니다.

사용자 삽입 이미지
사용자 삽입 이미지























비스타의 경우는 경로가 약간 다른데 아래와 같습니다. ('사용자 구성 - 관리 템플릿 - Windows 구성 요소-자동 실행 정책')



2. Autorun.inf 자동실행 비활성화 시키자

Shell Hardware Detection 서비스를 이용하여 USB 드라이브를 통해서 감염되는 악성코드 원리

드라이브 접근 메뉴에 "댔역" 이나 "Auto"라는 문구가 포함되어 있다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\Shell\Autorun 에 자신의 코드를 등록시켜서 감염되게 한다.

따라서 Shell Hardware Detection 서비스를 또한 비활성화 시켜야한다.

OS가 XP인 경우 :
내컴퓨터 마우스오른쪽 버튼 -> 관리 -> 서비스 및 응용프로그램 -> 서비스 -> 이름 : ShellHWDetection -> Shell Hardware Detection 중지(사용안함)

VISTA인경우 :
제어판 -> 시스템 및 유지 관리 -> 관리 도구 -> 서비스 -> 이름 : ShellHWDetection -> Shell Hardware Detection 중지(사용안함)


Shell hardware Detection 서비스를 끄셨다면, '실행 -> regedit'를 실행하여 아래의 경로의 값을 수정합니다.
OS가 XP인 경우 :
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"=dword:00000091 (자동 실행 설정/기본값)
"NoDriveTypeAutoRun"=dword:00000000 (자동 실행 설정)
"NoDriveTypeAutoRun"=dword:000000ff (자동 실행 해제)

VISTA인 경우 :
HKEY_USERS\{S-1-5-21-2765388612-2812426355-2310320014-500}\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
* {}안의 경로는 PC마다 다를 수 있음 : 레지스트리 편집기의 [찾기] 기능으로 NoDriveTypeAutoRun을 검색하면 위치를 쉽게 알 수 있습니다.

제 경우는 기본값이 dowd:000000bf 였는데 마찬가지로 위와 같이 ff로 고치면 됩니다.

바이러스 관련


관련 링크
이올린에 북마크하기(0) 이올린에 추천하기(0)
글이 유익하셨다면 추천 한방 꾹 눌러주세요^^
reTweet googlebuzz
, , , , , , , , , , , , , , , , ,

최근 인기글

오늘 인기글
4 Comments No Trackback

http://cheum.net/trackback/192

  1. 2008/11/26 10:44 [수정/삭제] [답글]

    감사합니다. 잘 보았습니다. 제 블러그에 펌 하겠습니다.

  2. heiyona

    2009/02/11 00:48 [수정/삭제] [답글]

    좋은 글 감사합니다^^
    그런데 autorun 비활성화에서 xp의 해당경로로 들어갔는데 dword를 어떻게 수정하는 지 모르겠네요. 가능하시다면 자세히 설명해주시면 감사드리겠습니다~

  3. 대왕신

    2009/03/01 14:36 [수정/삭제] [답글]

    네이버에 usbon이라고 치니까 예방하는거 있음

    minj.tistory.com/40

  4. 이름곤칠

    2009/03/05 14:43 [수정/삭제] [답글]

    감사합니다. 펌니다.

댓글을 남겨주세요.

[로그인][오픈아이디란?]